Профиль должен быть заполнен на русском языке кириллицей. Заполнение профиля заведомо ложными или некорректными данными - причина возможного отказа в регистрации на форуме.

Киберзащита АСУ ТП


Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 2564
Зарегистрирован: 07 окт 2011, 08:12
Ф.И.О.: Гаско Вячеслав Эриевич
Откуда: Рязань, Россия
Благодарил (а): 43 раза
Поблагодарили: 71 раз

Киберзащита АСУ ТП

Сообщение Ryzhij » 23 сен 2016, 05:40

Anton Shipulin писал(а):Источник цитаты А тем временем General Electric, Rockwell Automation, Schneider Electric и Siemens в этом году рассказали как они повышают защищенность своего оборудования и в том числе внедряют туда криптографию :)

Антон, то, что внедряется, только формально называется "криптозащитой".
Тут много даже чисто юридических заморочек, мешающих производителям продавать аппаратуру с более-менее стойкой криптографией.
То, что внедряется, работает внутри контроллера, обеспечивая надёжную аутентификацию пользователей, а не на каналах связи с "внешним миром".
Второй аспект - применение встроенной (внутренней) криптозащиты, с одной стороны, ведёт к несовместимости с оборудованием других производителей ("покупайте только наших слонов!"), а с другой - опять-таки сужает рынок сбыта, т.к. делает потребителя заложником одной фирмы. Кто ж на это пойдёт?
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может». Жан-Поль Сартр

Аватара пользователя

Barsik
освоился
освоился
Сообщения: 294
Зарегистрирован: 02 фев 2010, 22:28
Ф.И.О.: Корнеев Дмитрий
Благодарил (а): 2 раза
Поблагодарили: 3 раза
Контактная информация:

Киберзащита АСУ ТП

Сообщение Barsik » 23 сен 2016, 22:00

Припомнился пример из большой энергетики, когда уже 10 лет назад применялась криптография. Правда не в целях защиты от внешних атак, а для защиты от несанкционированного изменения записи действий персонала. На системе вибромониторинга турбогенератора было два дисковых массива, на одном тренды писались открыто, на другом - в шифрованном виде.
Запуск и модернизация оборудования без проекта и документации. Дорого.


Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 2564
Зарегистрирован: 07 окт 2011, 08:12
Ф.И.О.: Гаско Вячеслав Эриевич
Откуда: Рязань, Россия
Благодарил (а): 43 раза
Поблагодарили: 71 раз

Киберзащита АСУ ТП

Сообщение Ryzhij » 24 сен 2016, 08:36

Barsik писал(а):Источник цитаты Припомнился пример из большой энергетики, когда уже 10 лет назад применялась криптография. Правда не в целях защиты от внешних атак, а для защиты от несанкционированного изменения записи действий персонала. На системе вибромониторинга турбогенератора было два дисковых массива, на одном тренды писались открыто, на другом - в шифрованном виде.
Ну, что ж, неплохое решение.
Вот только причём тут АСУТП - автоматизированные системы управления технологическими процессами?
А киберзащита АСУТП тут каким боком?
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может». Жан-Поль Сартр


rusik
здесь недавно
здесь недавно
Сообщения: 7
Зарегистрирован: 14 апр 2016, 12:37
Ф.И.О.: Стефанов Руслан Михайлович
Откуда: Новороссийск
Поблагодарили: 1 раз

Киберзащита АСУ ТП

Сообщение rusik » 25 сен 2016, 00:11

Добрый вечер!
Поддержу тех, кто понимает, защита нужна, и что новые продукты, решения и услуги на базе технологий (Ethernet, Wi-Fi и др.), которые предлагаются всеми вендорами (Honeywell, Siemens, Emerson и др.) несут с собой соответствующие риски.
Текущая проблема заключается в том, что каждый зачастую бьется с этими рисками на своем посту в одиночку и исходя из своего понимания ситуации и способов решения.
Это тяжело.
Все жаркие споры здесь разворачиваются вокруг 2 вопросов:
- А был ли мальчик: А есть ли данный конкретный риск на данном конкретном объекте или нет?
- Зачем козе баян: Даже если риск есть, а какие меры будут адекватны?
Все знают про приказ №31, анализ рисков, моделирование угроз, меры и средства защиты.
Можно критиковать приказ №31, но он выстраивает четкий подход к защите. Кстати, он похож на NIST SP 800-53. :)
Так вот, проблема, описанная выше, начнет решаться, когда появятся совместно разработанные всеми сторонами (АСУ, ИТ, ИБ): акт классификации, модель угроз, необходимые и достаточные меры защиты
(как технические, так и организационные), план мероприятий по защите. И если вас спросят, а где KIKS или ISIM, у вас будет нужный всем ответ в согласованных документах.
Например, а вот не требуется такая система для нашего объекта - класс низкий, риски принимаем, угрозы не актуальны, экономически нецелесообразно.
Или наоборот, а вот в плане мероприятий на следующий год у нас заложено бесплатное/платное пилотирование.
И все, не надо никому ничего доказывать, читайте согласованные документы и выполняйте.

Да, все такие компании, как Лаборатория Касперского и Позитив Технолоджиз поняли, что здесь рыба есть, и стремятся захватить рынок, как можно раньше и быстрее.
И да, они еще не создали свою серебряную пулю, отсюда все косяки и проблемы с доверием, функциональностью, неафишируемыми инцидентами.
Но, кто может подсказать способ, как сделать что-то действительно полезное без опыта, полученного на реальных примерах?
Кстати не факт, что полезное в итоге появится. Но факт, что риски будут расти. ;)

Все понимают, кому отвечать за защиту, а значит для них открывается новая возможность. :ges_up:

Не праздный вопрос для знатоков (название темы натолкнуло): дайте, пожалуйста, определение понятия "киберзащита АСУ ТП" и определение понятия "кибербезопасность".


andrmur
освоился
освоился
Сообщения: 218
Зарегистрирован: 24 июл 2008, 08:22
Ф.И.О.: Мурашко Андрей Викторович
Откуда: Москва
Благодарил (а): 6 раз
Поблагодарили: 2 раза
Контактная информация:

Киберзащита АСУ ТП

Сообщение andrmur » 26 сен 2016, 00:12

Определение этих понятий приведено в "Концепции стратегии кибербезопасности РФ" http://council.gov.ru/media/files/41d4b3dfbdb25cea8a73.pdf


Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 2564
Зарегистрирован: 07 окт 2011, 08:12
Ф.И.О.: Гаско Вячеслав Эриевич
Откуда: Рязань, Россия
Благодарил (а): 43 раза
Поблагодарили: 71 раз

Киберзащита АСУ ТП

Сообщение Ryzhij » 26 сен 2016, 05:28

andrmur писал(а):Источник цитаты Определение этих понятий приведено в "Концепции стратегии кибербезопасности РФ" http://council.gov.ru/media/files/41d4b3dfbdb25cea8a73.pdf
Спасибо!
Из определений следует, что киберзащита относится к обеспечительным мерам кибербезопасности в киберпространстве. Киберпространство, в свою очередь, определяется как "сфера деятельности в информационном пространстве, образованная совокупностью коммуникационных каналов Интернета и других телекоммуникационных сетей, технологической
инфраструктуры, обеспечивающей их функционирование, и любых форм осуществляемой посредством их использования человеческой активности (личности, организации, государства)"

Поэтому, бессмысленно рассуждать о кибербезопасности в отсутствие каналов Интернета.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может». Жан-Поль Сартр


Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 2564
Зарегистрирован: 07 окт 2011, 08:12
Ф.И.О.: Гаско Вячеслав Эриевич
Откуда: Рязань, Россия
Благодарил (а): 43 раза
Поблагодарили: 71 раз

Киберзащита АСУ ТП

Сообщение Ryzhij » 26 сен 2016, 05:52

rusik писал(а):Источник цитаты Да, все такие компании... поняли, что здесь рыба есть, и стремятся захватить рынок, как можно раньше и быстрее
Похоже, что такие компании не только сами пруд под рыбу выкопали, но ещё и воду в нём мутят.
А навигация идёт по реке. Вдалеке.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может». Жан-Поль Сартр

Аватара пользователя

Anton Shipulin
read only
read only
Сообщения: 43
Зарегистрирован: 30 июл 2016, 22:00
Ф.И.О.: Шипулин Антон Сергеевич
Откуда: Moscow
Благодарил (а): 6 раз
Контактная информация:

Киберзащита АСУ ТП

Сообщение Anton Shipulin » 26 сен 2016, 08:37

Ryzhij писал(а):
andrmur писал(а):Источник цитаты Определение этих понятий приведено в "Концепции стратегии кибербезопасности РФ" http://council.gov.ru/media/files/41d4b3dfbdb25cea8a73.pdf
Спасибо!
Из определений следует, что киберзащита относится к обеспечительным мерам кибербезопасности в киберпространстве. Киберпространство, в свою очередь, определяется как "сфера деятельности в информационном пространстве, образованная совокупностью коммуникационных каналов Интернета и других телекоммуникационных сетей, технологической
инфраструктуры, обеспечивающей их функционирование, и любых форм осуществляемой посредством их использования человеческой активности (личности, организации, государства)"

Поэтому, бессмысленно рассуждать о кибербезопасности в отсутствие каналов Интернета.


Во первых в документе нет термина "киберзащита" (не находится), во вторых документ не принят (и принят не будет), поэтому не имеет большого значения. В третьих "кибер" - упрощенно значит "компьютерный". Т.е. при наличии "компьютера" (любого средства вычислительной техники с признаками "компьютера"), появляется проблема кибербезопасности, и не обязательно при наличии Интернета и сетей (сети эту проблему усугубляют). Поэтому, рассуждать о кибербезопасности в отсутствие каналов Интернета не бессмысленно
Пример 1983 года :)
Мурат Уртембаев — первый советский хакер
(заголовок не совсем корректный, персонаж не хакер, а инсайдер нарушитель)
Последний раз редактировалось Anton Shipulin 26 сен 2016, 12:52, всего редактировалось 3 раза.
ICS/SCADA Security Fan, CISSP, CEH, CSSA
Автор блога «Безопасность АСУ ТП»


Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 2564
Зарегистрирован: 07 окт 2011, 08:12
Ф.И.О.: Гаско Вячеслав Эриевич
Откуда: Рязань, Россия
Благодарил (а): 43 раза
Поблагодарили: 71 раз

Киберзащита АСУ ТП

Сообщение Ryzhij » 26 сен 2016, 08:45

Тут такое дело, пока не будет четко узаконенных определений терминов в нормативной документации, всяк волен трактовать их на свой манер.
А щёлкоперов и наличие законных определений не смущает - им броский заголовок важнее.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может». Жан-Поль Сартр

Аватара пользователя

Barsik
освоился
освоился
Сообщения: 294
Зарегистрирован: 02 фев 2010, 22:28
Ф.И.О.: Корнеев Дмитрий
Благодарил (а): 2 раза
Поблагодарили: 3 раза
Контактная информация:

Киберзащита АСУ ТП

Сообщение Barsik » 26 сен 2016, 15:18

Ryzhij писал(а):Источник цитаты
Вот только причём тут АСУТП - автоматизированные системы управления технологическими процессами?
А киберзащита АСУТП тут каким боком?

Вибромониторинг турбоагрегата вроде как ПАЗ если чо. Которая вроде как часть АСУТП, если я правильно понимаю.
А проблема преднамеренной модификации данных вроде как имеет отношение к обсуждаемой теме, или я не прав?
Запуск и модернизация оборудования без проекта и документации. Дорого.


Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 2564
Зарегистрирован: 07 окт 2011, 08:12
Ф.И.О.: Гаско Вячеслав Эриевич
Откуда: Рязань, Россия
Благодарил (а): 43 раза
Поблагодарили: 71 раз

Киберзащита АСУ ТП

Сообщение Ryzhij » 26 сен 2016, 15:24

ПАЗ и хранение архивов несколько разные задачи.
Есть и архивы без ПАЗ, бывает и ПАЗ без архивов.
Есть ещё логи различных событий.
И никогда ПАЗ не работает по архивным данным ;)
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может». Жан-Поль Сартр


andrmur
освоился
освоился
Сообщения: 218
Зарегистрирован: 24 июл 2008, 08:22
Ф.И.О.: Мурашко Андрей Викторович
Откуда: Москва
Благодарил (а): 6 раз
Поблагодарили: 2 раза
Контактная информация:

Киберзащита АСУ ТП

Сообщение andrmur » 26 сен 2016, 22:01

Anton Shipulin писал(а):Источник цитаты во вторых документ не принят (и принят не будет), поэтому не имеет большого значения. В третьих "кибер" - упрощенно значит "компьютерный".


Антон, а почему этот документ не будет принят? Не созрел?
Что имеет значение для терминологии? Например, ГОСТ Р 56205-2014 на странице 6 дает определение, но мне оно не нравится, поэтому лично для меня это определение теряет свое значение :-)
А еще есть неплохая статья с рассуждениями на эту тему: КИБЕРБЕЗОПАСНОСТЬ - ПОДХОДЫ К ОПРЕДЕЛЕНИЮ ПОНЯТИЯ http://cyberleninka.ru/article/n/kiberbezopasnost-podhody-k-opredeleniyu-ponyatiya.

Кстати, слово "кибер" даже упрощенно не значит "компьютерный" :ext_book:

Аватара пользователя

Anton Shipulin
read only
read only
Сообщения: 43
Зарегистрирован: 30 июл 2016, 22:00
Ф.И.О.: Шипулин Антон Сергеевич
Откуда: Moscow
Благодарил (а): 6 раз
Контактная информация:

Киберзащита АСУ ТП

Сообщение Anton Shipulin » 26 сен 2016, 22:58

andrmur писал(а):Источник цитаты Антон, а почему этот документ не будет принят? Не созрел?


Потому что его заморозили пару лет назад

andrmur писал(а):Источник цитаты Кстати, слово "кибер" даже упрощенно не значит "компьютерный"


Не люблю спорить про термины, скучно :)

- Как тебе удается столько успевать и относиться ко всему так спокойно?
- Я просто ни с кем не спорю.
- Да это же невозможно.
- Ну, невозможно так невозможно...


Логика всех рассудит. Замените "кибер" на "компьютерная" прочитайте результат. Пока не появился компьютер - информационная безопасность была, а "компьютерной" ("кибер") безопасности не было. Слово "Кибер" не является уникальным для промышленной автоматизации. Оно распространено и в других отраслял, например в банковской деятельности.
ICS/SCADA Security Fan, CISSP, CEH, CSSA
Автор блога «Безопасность АСУ ТП»


andrmur
освоился
освоился
Сообщения: 218
Зарегистрирован: 24 июл 2008, 08:22
Ф.И.О.: Мурашко Андрей Викторович
Откуда: Москва
Благодарил (а): 6 раз
Поблагодарили: 2 раза
Контактная информация:

Киберзащита АСУ ТП

Сообщение andrmur » 27 сен 2016, 23:07

Anton Shipulin писал(а):Источник цитаты Логика всех рассудит. Замените "кибер" на "компьютерная" прочитайте результат.


Так и понятие "управление" (то бишь "кибер") родилось задолго до появления компьютеров, и задолго до появления промышленной автоматизации. Поэтому, замена "кибер" на "компьютерный" сильно сужает смысл данного понятия.
Да и слово "компьютерный" по нынешним временам уже является частным случаем - информация вполне себе существует за пределами "компьютеров".
;-)

Аватара пользователя

TEB
специалист по DEIF
специалист по DEIF
Сообщения: 7904
Зарегистрирован: 17 июн 2008, 15:01
Ф.И.О.: Евгений свет Брониславович
Благодарил (а): 38 раз
Поблагодарили: 65 раз
Контактная информация:

Киберзащита АСУ ТП

Сообщение TEB » 02 окт 2016, 23:07

Ryzhij писал(а):Источник цитаты Внедрение же СКЗИ внутрь АСУТП сразу вызовет к жизни анекдот из прикладной мэрфологии: "Система обеспечения безопасности выводит из строя остальные системы".

Так это не анекдот а жизнь. Чем эффективнее система безопасности - тем больше она мешает работать по прямому назначению. 100%-эффективная система безопасности полностью блокирует объект.

Отправлено спустя 6 минут 47 секунд:
Anton Shipulin писал(а):Источник цитаты В третьих "кибер" - упрощенно значит "компьютерный". Т.е. при наличии "компьютера" (любого средства вычислительной техники с признаками "компьютера")


Anton Shipulin писал(а):Источник цитаты Не люблю спорить про термины, скучно :)


А и нечего спорить. Нужно иметь нормальные определения. Ценность любого документа как раз и определяется чёткостью определений и области распространения в первой части. Если уже тут бардак - дальше он будет только нарастать (энтропию невозможно уменьшить искусственно). Причём на этом термине практически всё и держится. А "любого средства вычислительной техники с признаками "компьютера" - это, извините, не определение, а чей-то полуночный бред.

Точность начинается с терминологии. Если лень чётко определить предмет разговора - зачем вообще вести разговор?
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.


rusik
здесь недавно
здесь недавно
Сообщения: 7
Зарегистрирован: 14 апр 2016, 12:37
Ф.И.О.: Стефанов Руслан Михайлович
Откуда: Новороссийск
Поблагодарили: 1 раз

Киберзащита АСУ ТП

Сообщение rusik » 03 окт 2016, 09:22

TEB писал(а):Источник цитаты А и нечего спорить. Нужно иметь нормальные определения

В связи с этим предложение ко всем: создать статью "Киберзащита"/"Кибербезопасность" на русскоязычной Википедии.
Уже есть ссылки на первоисточники, на основании которых, это понятие можно описать в статье.
andrmur писал(а):Источник цитаты Определение этих понятий приведено в "Концепции стратегии кибербезопасности РФ" http://council.gov.ru/media/files/41d4b ... ea8a73.pdf

andrmur писал(а):Источник цитаты Например, ГОСТ Р 56205-2014 на странице 6 дает определение, но мне оно не нравится, поэтому лично для меня это определение теряет свое значение :-)

andrmur писал(а):Источник цитаты А еще есть неплохая статья с рассуждениями на эту тему: КИБЕРБЕЗОПАСНОСТЬ - ПОДХОДЫ К ОПРЕДЕЛЕНИЮ ПОНЯТИЯ http://cyberleninka.ru/article/n/kiberb ... -ponyatiya.

Кто поддерживает это предложение?

Аватара пользователя

TEB
специалист по DEIF
специалист по DEIF
Сообщения: 7904
Зарегистрирован: 17 июн 2008, 15:01
Ф.И.О.: Евгений свет Брониславович
Благодарил (а): 38 раз
Поблагодарили: 65 раз
Контактная информация:

Киберзащита АСУ ТП

Сообщение TEB » 03 окт 2016, 10:58

rusik писал(а):Источник цитаты Кто поддерживает это предложение?

В наше время на википедии кто и что только не пишет - нужно ли для этого согласие?

Определения должны быть "ГОСТовские", то есть даны в ФЗ, в НТД, в другом документе, а не придуманы из пальца, и даны они должны быть чётко и однозначно. Я ещё детально не изучал этот ФЗ чтобы понять, насколько всё чётко, но если там всё нечётко то статей таких на википедии можно написать три десятка принципиально разных - и каждая будет просто очередной трактовкой (зачем их плодить?). А когда ФЗ написан чётко и правильно - не нужно ни одной статьи.

Я например не видел ни одной аналитической статьи ни об одном из морских регистров мира включая Российские - потому что не надо, там всё однозначно: читай внимательно, делай как предписано, не делай как не предписано или запрещено. Приёмка так и происходит: инспектор читает каждый пункт Правил и смотрит на изделие, пытаясь определить, выполнен этот пункт или нет. Каким образом и почему именно так - его не интересует, у него выездной час стоит под 200 евро, так что тут не до рассуждений. И кстати определение "компьютерной системы" там - в Правилах Регистра - есть, например в Норвежском можно почитать, Норвежский самый серьёзный из всех Регистров мира.
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.

Аватара пользователя

dtv
освоился
освоился
Сообщения: 255
Зарегистрирован: 04 фев 2014, 07:41
Ф.И.О.: Дмитриев Тарас Валерьевич
Откуда: г. Екатеринбург
Благодарил (а): 18 раз
Поблагодарили: 6 раз
Контактная информация:

Киберзащита АСУ ТП

Сообщение dtv » 03 окт 2016, 11:07

Современные "стандарты" кто только не пишет. Зачастую и те, кто в них материально заинтересован, например производители и продавцы. Соответственно, они там пишут так, как выгодно им, а не потребителям.
У меня есть пример из практики, когда одна немецкая фирма написала ГОСТ по балансировке роторов. Процедура балансировки в него перекочевала из штатного ПО этой фирмы. Конкуренты вынуждены плеваться и переделывать софт под требования "стандарта". Боюсь, что нынешнее государство привлечёт к нормотворчеству тех, кто сейчас громче всех кричит и настоятельно предлагает отрасли свои решения и ничего хорошего (для отрасли в целом) из этого не выйдет.
Взгляд знатока намного уже кругозора неуча. Ю.Базылев


rusik
здесь недавно
здесь недавно
Сообщения: 7
Зарегистрирован: 14 апр 2016, 12:37
Ф.И.О.: Стефанов Руслан Михайлович
Откуда: Новороссийск
Поблагодарили: 1 раз

Киберзащита АСУ ТП

Сообщение rusik » 03 окт 2016, 12:35

rusik писал(а):Источник цитаты Кто поддерживает это предложение?


Дальний прицел предложения: организовать наше коллективное (ибо смысл Википедии в коллективной работе) написание отсутствующей в данный момент статьи на тему "Киберзащита/Кибербезопасность".
Вопрос задан с целью оценить готовность и компетенцию нашего сообщества, а также наличие в достаточном количестве исходного материала для статьи.
На текущий момент: готовность нулевая, компетенция просматривается, материал частично имеется.

PS. В любом случае термины не появляются из воздуха, смысл в них вкладывают конкретные люди, будь это определение в ФЗ или статья в Википедии. Кстати, многие пользуются Википедией, как источником информации, в том числе и для разработки нормативно- правовых документов.

Аватара пользователя

VADR
администратор
администратор
Сообщения: 2411
Зарегистрирован: 25 июл 2008, 06:12
Ф.И.О.: Диев Александр Васильевич
Благодарил (а): 19 раз
Поблагодарили: 26 раз

Киберзащита АСУ ТП

Сообщение VADR » 04 окт 2016, 23:00

Anton Shipulin писал(а):
VADR писал(а):Откуда-то выдернул ссылку: Методические документы ФСТЭК. Возможно, из ИБ-шной группы в мордокниге. Кто-нибудь в курсе, что такое в этих документах "тип А, Б, В, Г, Д" и "класс 4, 5, 6" (а так же - куда делись 1-3)?


Ответ тут:
Информационное сообщение об утверждении требований к межсетевым экранам от 28 апреля 2016 г. N 240/24/1986


Интересную фразу нашёл в самом начале пресловутого "приказа 31":
Настоящие Требования применяются в случае принятия владельцем автоматизированной системы управления решения об обеспечении защиты информации, обработка которой осуществляется этой системой и нарушение безопасности которой может привести к нарушению функционирования автоматизированной системы управления.

Я правильно понимаю, что если владельцем автоматизированной системы управления такое решение не принимается, "настоящие требования" можно закинуть на полку и не вспоминать?
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.

Аватара пользователя

TEB
специалист по DEIF
специалист по DEIF
Сообщения: 7904
Зарегистрирован: 17 июн 2008, 15:01
Ф.И.О.: Евгений свет Брониславович
Благодарил (а): 38 раз
Поблагодарили: 65 раз
Контактная информация:

Киберзащита АСУ ТП

Сообщение TEB » 04 окт 2016, 23:39

rusik писал(а):Источник цитаты Вопрос задан с целью оценить готовность и компетенцию нашего сообщества, а также наличие в достаточном количестве исходного материала для статьи.

Мне кажется, Вы усложняете процесс. Вот наш форум - пишите, пробуйте, кому интересно тот внесёт свои 5 копеек, результат потом куда угодно можете применить, хоть в википедию хоть в книгу.

Отправлено спустя 4 минуты 1 секунду:
VADR писал(а):Источник цитаты
Я правильно понимаю, что если владельцем автоматизированной системы управления такое решение не принимается, "настоящие требования" можно закинуть на полку и не вспоминать?

По-моему, совершенно правильно. Если только заказчик - а он и есть владелец будущей системы - не примет такое решение и не оговорит это в ТЗ. А ещё такие решения могут приниматься на уровне ведомств и крупных корпораций типа Газпрома по масштабам - мне кажется что основной механизм применения этого ФЗ именно такой. И вообще мне кажется что этот ФЗ - пробный камень для чего-то большего, сейчас посмотрят на то как это исполняется технически и будут продвигать вплоть до изменения рекомендательного порядка на обязательный. Приняли же обязательным требование хранить у провайдеров суточный трафик - только представьте, какие это деньжищи и кому это выгодно. Так и здесь может случиться.
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.

Аватара пользователя

Anton Shipulin
read only
read only
Сообщения: 43
Зарегистрирован: 30 июл 2016, 22:00
Ф.И.О.: Шипулин Антон Сергеевич
Откуда: Moscow
Благодарил (а): 6 раз
Контактная информация:

Киберзащита АСУ ТП

Сообщение Anton Shipulin » 05 окт 2016, 23:04

TEB писал(а):Источник цитаты По-моему, совершенно правильно. Если только заказчик - а он и есть владелец будущей системы - не примет такое решение и не оговорит это в ТЗ. А ещё такие решения могут приниматься на уровне ведомств и крупных корпораций типа Газпрома по масштабам - мне кажется что основной механизм применения этого ФЗ именно такой. И вообще мне кажется что этот ФЗ - пробный камень для чего-то большего, сейчас посмотрят на то как это исполняется технически и будут продвигать вплоть до изменения рекомендательного порядка на обязательный. Приняли же обязательным требование хранить у провайдеров суточный трафик - только представьте, какие это деньжищи и кому это выгодно. Так и здесь может случиться.


Приказ 31 (это не ФЗ) носит рекомендательный методический характер. Но с 2013 года находится в разработке проект ФЗ "О безопасности критической информационной инфраструктуры" нацеленный на АСУ ТП, с текстом можно ознакомиться здесь. Если его примут статус Приказа 31 может измениться.
А кроме проекта закона там же связанный проект внесения изменений в УК, который хочет назначить срок 7 лет, который считается может грозить за не применение мер по безопасности.

2) дополнить статью 274 [Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей] частью третьей:
«3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли ущерб безопасности критической информационной инфраструктуры Российской Федерации или создали угрозу его наступления, -
наказывается лишением свободы на срок до семи лет.».
ICS/SCADA Security Fan, CISSP, CEH, CSSA
Автор блога «Безопасность АСУ ТП»


rusik
здесь недавно
здесь недавно
Сообщения: 7
Зарегистрирован: 14 апр 2016, 12:37
Ф.И.О.: Стефанов Руслан Михайлович
Откуда: Новороссийск
Поблагодарили: 1 раз

Киберзащита АСУ ТП

Сообщение rusik » 05 окт 2016, 23:33

TEB писал(а):Источник цитаты Вот наш форум - пишите, пробуйте, кому интересно тот внесёт свои 5 копеек, результат потом куда угодно можете применить, хоть в википедию


НачнЕМ:

Киберзащита АСУ ТП - это защита активов АСУ ТП от компьютерных атак в киберпространстве (в контексте ISO/IEC 27032:2012 «Информационные технологии. Методы обеспечения безопасности. Руководящие указания по обеспечению кибербезопасности»). Киберпространство – это сложная среда, не существующая ни в какой физической форме, возникающая в результате взаимодействия людей, ПО, интернет сервисов посредством технологических устройств и сетевых связей.

Далее предлагается кратко ответить на вопросы:
Кто и почему создает защиту АСУ ТП?
Что-то еще?

И завершить статью
Значимость понятия растет в связи с тенденциями роста автоматизации, централизации управления и снижения расходов на обслуживание в компаниях, владеющих активами АСУ ТП.

Аватара пользователя

VADR
администратор
администратор
Сообщения: 2411
Зарегистрирован: 25 июл 2008, 06:12
Ф.И.О.: Диев Александр Васильевич
Благодарил (а): 19 раз
Поблагодарили: 26 раз

Киберзащита АСУ ТП

Сообщение VADR » 06 окт 2016, 00:24

Anton Shipulin писал(а):Источник цитаты
TEB писал(а):Источник цитаты По-моему, совершенно правильно. Если только заказчик - а он и есть владелец будущей системы - не примет такое решение и не оговорит это в ТЗ. А ещё такие решения могут приниматься на уровне ведомств и крупных корпораций типа Газпрома по масштабам - мне кажется что основной механизм применения этого ФЗ именно такой. И вообще мне кажется что этот ФЗ - пробный камень для чего-то большего, сейчас посмотрят на то как это исполняется технически и будут продвигать вплоть до изменения рекомендательного порядка на обязательный. Приняли же обязательным требование хранить у провайдеров суточный трафик - только представьте, какие это деньжищи и кому это выгодно. Так и здесь может случиться.

Приказ 31 (это не ФЗ) носит рекомендательный методический характер. Но с 2013 года находится в разработке проект ФЗ "О безопасности критической информационной инфраструктуры" нацеленный на АСУ ТП, с текстом можно ознакомиться здесь. Если его примут статус Приказа 31 может измениться.

Может... если... Вот если эти документы не доведут до удобоваримого состояния, то независимо от статуса они будут пылиться на полке. Пока что от чтения всего этого дела у меня возникло примерно такое ощущение:

Anton Shipulin писал(а):А кроме проекта закона там же связанный проект внесения изменений в УК, который хочет назначить срок 7 лет, который считается может грозить за не применение мер по безопасности.
2) дополнить статью 274 [Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей] частью третьей:
«3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли ущерб безопасности критической информационной инфраструктуры Российской Федерации или создали угрозу его наступления, -
наказывается лишением свободы на срок до семи лет.».

Вообще-то не совсем "за не применение мер по безопасности". Если уж по тексту - то "Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли ущерб безопасности критической информационной инфраструктуры Российской Федерации или создали угрозу его наступления" (тут также стоит обратиться к определению "критической информационной инфраструктуры РФ"). Ну и первые 2 части этой статьи гласят:
1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб...
2. Деяние, предусмотренное частью первой настоящей статьи, если оно повлекло тяжкие последствия или создало угрозу их наступления...

То есть не совсем "неприменение мер по безопасности". Более того, обратите внимание на предлагаемую третью часть и то, как она соотносится со второй, на которую собственно ссылается...
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.


Technic4
здесь недавно
здесь недавно
Сообщения: 52
Зарегистрирован: 10 мар 2016, 06:51
Ф.И.О.: Ильгиз Ильдарович
Благодарил (а): 2 раза
Поблагодарили: 5 раз

Киберзащита АСУ ТП

Сообщение Technic4 » 06 окт 2016, 07:17

https://www.linkedin.com/pulse/depth-an ... title-like
В Стокгольме в октябре устроят глубокий брифинг по Black Energy.


Вернуться в «Безопасность»



Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей